A Wireshark használata a csomagok rögzítéséhez, szűréséhez és ellenőrzéséhez

A Wireshark, egy korábban Ethereal néven ismert hálózati elemző eszköz valós időben rögzíti a csomagokat, és ember által olvasható formátumban jeleníti meg azokat. A Wireshark szűrőket, színkódokat és egyéb szolgáltatásokat tartalmaz, amelyek lehetővé teszik a hálózati forgalom mélyre ásását és az egyes csomagok ellenőrzését.

Ez az oktatóanyag felgyorsítja a csomagok elfogásának, szűrésének és ellenőrzésének alapjait. A Wireshark segítségével ellenőrizheti egy gyanús program hálózati forgalmát, elemezheti a hálózat forgalmi áramlását vagy elháríthatja a hálózati problémákat.

Wireshark megszerzése

A Wireshark for Windows vagy a macOS letölthető a hivatalos weboldaláról. Ha Linuxot vagy más UNIX-szerű rendszert használ, akkor valószínűleg a Wiresharkot megtalálja a csomagtáraiban. Például, ha Ubuntut használ, akkor a Wiresharkot az Ubuntu Szoftverközpontban találja meg.

Csak egy gyors figyelmeztetés: Sok szervezet nem engedélyezi a Wiresharkot és hasonló eszközöket a hálózataikon. Ne használja ezt az eszközt a munkahelyén, hacsak nincs engedélye.

Csomagok rögzítése

A Wireshark letöltése és telepítése után elindíthatja azt, és kattintson duplán a hálózati csatoló nevére a Capture alatt, hogy megkezdhesse a csomagok rögzítését az adott felületen. Például, ha forgalmat szeretne rögzíteni a vezeték nélküli hálózaton, kattintson a vezeték nélküli interfészre. A speciális funkciókat a Rögzítés> Beállítások elemre kattintva konfigurálhatja, de ez egyelőre nem szükséges.

Amint rákattint a felület nevére, látni fogja, hogy a csomagok valós időben kezdenek megjelenni. A Wireshark rögzíti az összes csomagot, amelyet a rendszerére küldtek, vagy onnan küldtek.

Ha engedélyezve van az elveszített mód - alapértelmezés szerint engedélyezve van -, akkor a hálózat összes többi csomagját is látni fogja, nem csak a hálózati adapterhez címzett csomagokat. Annak ellenőrzéséhez, hogy engedélyezve van-e a gátlástalan mód, kattintson a Rögzítés> Beállítások elemre, és ellenőrizze, hogy az ablak alján be van-e kapcsolva a „Hibás mód engedélyezése minden felületen” jelölőnégyzet.

Kattintson a piros „Stop” gombra az ablak bal felső sarkában, amikor le akarja állítani a forgalom rögzítését.

Színkódolás

Valószínűleg látni fogja a különféle színekben kiemelt csomagokat. A Wireshark színeket használ, hogy egy pillantással felismerje a forgalom típusait. Alapértelmezés szerint a halványlila a TCP forgalom, a világoskék az UDP forgalom, a fekete pedig hibás csomagokat azonosít - például rendezetlenül szállíthatták volna őket.

A színkódok pontos jelentésének megtekintéséhez kattintson a Nézet> Színező szabályok elemre. Innen testreszabhatja és módosíthatja a színezési szabályokat is, ha úgy tetszik.

Minta rögzítések

Ha a saját hálózaton nincs semmi érdekes, amit ellenőrizni tudna, a Wireshark wiki-jével foglalkozik. A wiki tartalmaz egy példát a rögzítési fájlokról, amelyeket betölthet és ellenőrizhet. Kattintson a Fájl> Megnyitás a Wiresharkban elemre, és keresse meg a letöltött fájlt a megnyitásához.

Mentheti saját felvételeit a Wiresharkba, és később megnyithatja őket. Kattintson a Fájl> Mentés gombra a rögzített csomagok mentéséhez.

Csomagok szűrése

Ha valami konkrét dolgot próbál megvizsgálni, például a forgalmat, amelyet egy program hazahíváskor küld, akkor segít bezárni az összes többi alkalmazást a hálózaton keresztül, így szűkítheti a forgalmat. Ennek ellenére valószínűleg nagy mennyiségű csomagot kell átkutatnia. Ott jönnek be a Wireshark szűrői.

A szűrő alkalmazásának legalapvetőbb módja az, ha beírja azt az ablak tetején található szűrőmezőbe, és rákattint az Alkalmaz gombra (vagy nyomja meg az Enter billentyűt). Írja be például a „dns” parancsot, és csak a DNS-csomagokat fogja látni. Amikor elkezdi gépelni, a Wireshark segít Önnek a szűrő automatikus kitöltésében.

Az Elemzés> Szűrők megjelenítése elemre kattintva is kiválaszthat egy szűrőt a Wireshark alapértelmezett szűrői közül. Innen hozzáadhatja saját egyéni szűrőit, és elmentheti őket, hogy a későbbiekben könnyebben hozzáférhessen hozzájuk.

Ha többet szeretne megtudni a Wireshark kijelző szűrési nyelvéről, olvassa el a Wireshark hivatalos dokumentációjában található A kijelző szűrő kifejezések kiépítése oldalt.

Egy másik érdekes dolog, amit tehet, az a jobb gombbal kattintson egy csomagra, és válassza a Követés> TCP-adatfolyam lehetőséget.

Megjelenik a teljes TCP beszélgetés az ügyfél és a szerver között. A Kövesse menüben más protokollokra is kattinthat, ha szükséges, megtekintheti a többi protokoll teljes beszélgetését.

Zárja be az ablakot, és meglátja, hogy egy szűrőt automatikusan alkalmaznak. A Wireshark megmutatja a beszélgetést alkotó csomagokat.

Csomagok ellenőrzése

Kattintson egy csomagra a kiválasztásához, és leáshatja, hogy megtekinthesse annak részleteit.

Szűrőket innen is létrehozhat - csak kattintson a jobb gombbal az egyik részletre, és az Alkalmazás szűrőként almenüvel hozzon létre egy szűrőt az alapján.

A Wireshark rendkívül hatékony eszköz, és ez az oktatóanyag csak felkarolja a felületét annak, amit tehet vele. A szakemberek a hálózati protokollok megvalósításának hibakeresésére, a biztonsági problémák megvizsgálására és a hálózati protokollok belső ellenőrzésére használják.

Részletesebb információkat megtalál a Wireshark hivatalos felhasználói útmutatójában és a Wireshark webhelyének egyéb dokumentációs oldalain.